Re: rpc.statd

To: Robert Bartels <rbartels@qx.net>
Cc: debian-security@lists.debian.org
Subject: Re: rpc.statd
From: Daniel Jacobowitz <dan@debian.org>
Date: Sun, 8 Apr 2001 18:12:21 -0400
Message-id: <20010408181221.A8622@nevyn.them.org>
Mail-followup-to: Robert Bartels <rbartels@qx.net>, debian-security@lists.debian.org
In-reply-to: <MGEDJOMNEECFEHABEGMFCEOMCKAA.rbartels@qx.net>; from rbartels@qx.net on Sun, Apr 08, 2001 at 06:04:54PM -0400
References: <MGEDJOMNEECFEHABEGMFCEOMCKAA.rbartels@qx.net>

On Sun, Apr 08, 2001 at 06:04:54PM -0400, Robert Bartels wrote:
> I saw this in my logs today.
> 
> Apr  8 15:08:43 mikado rpc.statd[179]: gethostbyname error for
> ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%1
> 37x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\2
> 20\220\220\220\2!
> 20\220\220\220\220\220\220\220\220\220
> 
> It looks like statd is still running. Is rpc still vulnerable? Is there a

Nope, you're safe if you saw the % signs in your logs.

> way to track down who
> connected to rpc.statd?

Run a tcp logger, like ippl.

-- 
Daniel Jacobowitz                           Debian GNU/Linux Developer
Monta Vista Software                              Debian Security Team
                         "I am croutons!"

Reply to:

Follow-Ups:
- Re: rpc.statd
  - From: Simon Murcott <simon@murcott.net>

References:
- rpc.statd
  - From: "Robert Bartels" <rbartels@qx.net>

Prev by Date: Re: rpc.statd
Next by Date: Re: rpc.statd
Previous by thread: Re: rpc.statd
Next by thread: Re: rpc.statd
Index(es):
- Date
- Thread